Il CRM (o Customer relationship Manager) rappresenta ormai uno strumento chiave per le aziende attraverso il quale si possono gestire notevoli quantità di dati, rilevanti sia sotto il profilo privacy ma soprattutto per la protezione del business aziendale.
Tipicamente i dati che vengono registrati sono: dati di contatto; dati commerciali e di profilazione; dati finanziari; dati marketing; oltre a tutto quello che viene registrato nel campo note. Proviamo però a interrogarci su quali sono i criteri da rispettare per utilizzare il CRM in modo conforme al GDPR.
Analizzare la provenienza del dato : le fonti del dato son le più svariate ( ERP; prospect o leads forniti dai commerciali; servizi a pagamento; pagine web; biglietti da visita; elenchi pubblici; iscritti a newsletter o sito o social; passaparola) . Ecco quindi che è fondamentale che vi sia traccia della provenienza.
Essere certi della base giuridica del trattamento: sono diverse le basi giuridiche che possono rendere lecito un trattamento e nel caso di una azienda queste tipicamente sono : gli obblighi contrattuali o pre-contrattuali o gli obblighi di legge (che permettono di trattare i dati dei clienti o del personale); il legittimo interesse (che permette di trattare per fini marketing i dati dei propri clienti); il consenso , espresso nelle sue varie forme (che ci permette di tessere rapporti coi prospect).
L’obbligo di fornire una informativa: qualsiasi sia la base del trattamento, l’interessato deve essere informato in merito a come verranno trattati i suoi dati, le relative finalità e i criteri per la condivisione degli stessi
Verificare i consensi: per tutti i trattamenti quali marketing, profilazione e cessione a terzi è sempre necessario avere contezza del consenso rilasciato dall’interessato. Ove questo non fosse reperibile, è necessario provvedere a sanare questa carenza o procedere con l’eliminazione del dato stesso
Data retention: resta uno dei requisiti più difficili da gestire in quanto è diversificata in base alla tipologia di dato, finalità di trattamento e base giuridica dello stesso. Tutto quello che è necessario per la normativa contabile e fiscale deve essere conservato per 10 anni. I dati dei clienti gestiti sulla base del legittimo interesse possono essere conservati fino a che sussiste il rapporto col cliente stesso. Se dopo 24 mesi questo non si è fatto più vivo, allora non sussistono più le condizioni per giustificare un legittimo interesse. I dati che son gestiti dietro invece consenso esplicito, possono essere utilizzati fino a loro revoca. E queste diverse durate di conservazione dovrebbero essere gestite in automatico all’interno del crm.
Minimizzazione dei dati: la quantità e la tipologia di dati che trattiamo devono essere quelle strettamente necessarie a soddisfare le finalità per cui sono stati raccolti.
Garantire una adeguata protezione dei dati: il titolare deve sempre fare una analisi dei rischi relativa ai dati trattati per comprendere quali misure di protezione è necessario adottare
Lascia un commento